Degli attacchi BEC abbiamo parlato spesso come una delle evoluzioni delle truffe via email contro le aziende. Gli attaccanti falsificano o compromettono uno o più account aziendali di dirigenti o dipendenti di alto livello che hanno accesso alle finanze aziendali e sono abilitati ad eseguire bonifici bancari, per sfruttarli al fine di far eseguire pagamenti truffaldini. Gli account aziendali vengono compromessi con attacchi di phishing, con malware e altre forme di attacco, ma non è affatto raro che vengano anche appositamente creati sfruttando le informazioni personali rintracciabili sul web della persona che gli attaccanti vogliono impersonificare.
Lo schema classico prevede che gli attaccanti inviino dall'account email compromesso / falso di un dirigente (spesso il CEO aziendale) all'account di un dipendente abilitato ad eseguire bonifici, una email in cui viene richiesto di eseguire urgentemente un pagamento verso un soggetto terzo. Il dipendente che non riconosce la truffa, finisce per eseguire bonifici su conti anonimi collegati agli attaccanti e molto spesso è assai difficile, se non quasi impossibile, rintracciare quei soldi. Ugualmente è anche possibile che gli attaccanti impersonifichino un fornitore comunicando un "semplice cambio di IBAN".
Per approfondire > Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi
La truffa contro l'azienda agricola di Gorizia
La vicenda in oggetto trae origine dalla denuncia, da parte di un'azienda agricola di Gorizia, di una frode informatica che aveva portato al dirottamento di un bonifico per il pagamento di una fattura da circa 60.000 euro.
La Polizia Postale si è messa all'opera e le indagini hanno mostrato come l'azienda avesse subito una complessa forma di frode BEC, visto che questa è stata accompagnata da una ulteriore tecnica di attacco, detta Man-in-the-Middle (MitM). E' stato così individuato un cittadino italiano, il titolare del conto corrente sul quale era stato dirottato il bonifico e che gioca, in questo caso, la parte del money mule. In gergo il money mule è quella persona che mette a disposizione il proprio conto corrente per trasferire denaro illecito.
Qualche dettaglio tecnico
Questa truffa, come detto, è stata portata sfruttando una tecnica di attacco precisa, detta Man-in-the-Middle (MitM): essa consiste, semplicemente, nel far si che un terzo attore non autorizzato possa mettersi in ascolto rispetto ad un flusso di dati tra due soggetti e possa quindi intercettare l'intero scambio.
Una volta violato l'account della vittima, gli attaccanti si sostituiscono, nello scambio, ad uno dei due interlocutori: possono quindi ricevere messaggi email e scriverne di proprio pugno. Scopo è ovviamente quello di indurre l'interlocutore, ovviamente inconsapevole di parlare con l'Uomo in Mezzo e non con la persona che si immagina (un fornitore, un superiore ecc...) a trasferire somme di denaro su conti diversi da quelli soliti.
Qui entra in gioco il money mule, quel soggetto che mette a disposizione il proprio conto per il trasferimento di denaro, in cambio di una ricompensa. Appena arrivati sul conto del money mule i soldi sono di nuovo trasferiti, questa volta su conti esteri molto più difficilmente rintracciabili.
Un problema spinoso e in crescita
Stando all'ultimo rapporto dell'FBI, gli attacchi BEC sono in crescita e, sorpresa negativa, l'Italia si piazza al 13esimo posto della classifica mondiale degli stati più colpiti da questo tipo di attacchi. D'altronde è una tipologia di attacco con alto tasso di successo a fronte invece di ridottissimi rischi corsi dai truffatori.
Rendersi conto di questa truffa è molto difficile, inoltre: le email illegittime non vengono bloccate dalle soluzioni di sicurezza perché non contengono né malware né allegati criptati, fanno esplicito riferimento a conversazioni o mittenti leciti già conosciuti dalla vittima e, oltretutto, sono anche attesi dalla vittima stessa al contrario delle email comuni di phishing che, molto spesso, sono del tutto inaspettate dalla vittima e già quindi sono un campanello di allarme. Le email false sono caratterizzate da un solo elemento differente rispetto alla normalità, l'IBAN, ma sono infiniti i potenziali motivi per giustificare ad una vittima un IBAN diverso da quello solito per effettuare un pagamento.
L'altro aspetto importante da tenere in considerazione è che non esistono soluzioni di sicurezza che possono bloccare un attacco come questo, dato che tutto si basa sul truffare le persone (ingegneria sociale). Queste truffe fanno leva sul capitale umano e solo il capitale umano può reagire e sventarle in tempo, se, ovviamente, opportunamente sensibile e formato.
Nessun commento:
Posta un commento